세계일보

북한 해킹조직이 국내 유명 금융정보보안업체 내부전산망을 해킹해 탈취한 전자인증서를 이용, 위조된 코드서명이 탑재된 악성 프로그램을 10여개 기관 PC에 유포한 것으로 드러났다. 유관기관들이 나서 백신프로그램 공급과 각종 PC 및 서버에 저장된 해당 악성 프로그램 삭제 등을 신속히 하면서 대량 피해를 막을 수 있었다.

2015년 11월 금융 보안전문업체 A사의 전산서버가 누군가에게 해킹을 당했다. 내부자료 탈취가 가능하도록 악성 프로그램이 설치됐는데 올 1월 이 사실을 모르고 서버에 접속한 직원의 PC에 악성 프로그램이 전파되면서 문제가 커졌다. 해당 PC에 저장되어 있던 A사의 전자인증서가 외부로 유출된 것이다.

지난 2월에는 A사의 전자인증서를 이용한 코드서명이 탑재돼 A사의 정상 프로그램처럼 가장한 악성 프로그램이 B학술단체 홈페이지 운영서버에 설치됨에 따라 B학술단체 홈페이지 운영서버에 접속한 10개 기관 PC 총 19대에 동일 악성 프로그램이 유포되는 대형사고가 터지기도 했다. 유포된 악성 프로그램은 저장 정보를 탈취하거나 다른 악성 프로그램의 추가 설치를 가능하게 하는 등의 작업으로 수많은 PC를 마비시켰다.

백신업체가 A사 코드서명이 탑재된 악성 프로그램을 발견해 한국인터넷진흥원 및 A사에 통보하면서 A사 전자인증서가 해킹·탈취돼 코드서명이 위조된 사실이 드러났다. A사가 관련 PC·서버 등을 개인정보범죄 정부합동수사단(단장 손영배 서울중앙지검 첨단범죄수사1부장)에 제출하면서 수사가 시작됐다.

합수단은 A사 서버 및 PC 70여대, 악성 프로그램 유포 경로가 된 서버, 악성 프로그램이 설치된 PC를 제어하고 명령을 내리는 서버(C&C 서버), 이메일 등 총 12테라 용량의 자료를 정밀하게 분석했다. 1테라는 종이 1억 페이지 분량에 해당한다.

그 결과 외부에서도 접속이 가능한 A사 프로그램 테스트용 서버(데모서버)를 통해 직원 PC를 해킹하고 전자인증서를 탈취한 사실이 확인됐다. 또 B학술단체 홈페이지 운영 서버를 통해 10개 기관 19개 PC에 악성프로그램이 유포된 것으로 드러났다.

해킹 용의자 추석에 나선 합수단은 A사 서버가 악성 프로그램에 최초 감염된 2015년 11월 30일부터 올해 1월 28일까지 북한 소재 IP가 총 26회 해당 서버에 접속한 정황을 포착했다. 특히 지난 1월 28일에는 문제의 악성 프로그램의 명령·제어서버에 북한 소재 IP가 총 6회 접속한 사실이 확인됐다.

합수단에 따르면 해킹된 A사 직원 PC에서 유출되는 정보가 전달되도록 미리 지정된 이메일 계정에서 북한 선전·선동매체 ‘우리민족끼리’ 사이트 가입자에게 이메일을 발송했다. A사 직원 사내 이메일로 악성 프로그램을 탑재한 ‘남북통일에 대함’이라는 제목의 이메일이 발송되었고, 해당 악성 프로그램 명령·제어서버 도메인이 ‘dprk.hdskip.com’로 북한(DPRK)과 관련돼 있음이 추가로 밝혀졌다.

합수단은 31일 수사결과 발표를 통해 “국내 주요기관에서 정보보안 등을 목적으로 사용중인 A사 전자인증서를 탈취하고, 이를 악용해 악성 프로그램을 정상 프로그램으로 가장·유포함으로써 국내 주요 전산망에 대한 침입·마비 등으로 사회혼란 야기를 시도한 북한 해킹조직의 사이버테러로 추정된다”고 설명했다.

합수단에 참여 중인 국가정보원, 한국인터넷진흥원, 금융보안원 등 유관기관들의 노력으로 위조된 코드서명 폐기·무효화, 감염된 PC 네트워크 연결 차단 및 악성 프로그램 삭제 등 조치가 신속히 이뤄졌다. 합수단은 주요 백신업체 등에게 문제의 악성 프로그램 정보를 제공해 백신프로그램 업데이트 등도 시행했다. 합수단 관계자는 “신속한 조치로 공공기관 내부정보 유출 등 추가 피해는 발생하지 않은 것으로 확인됐다”고 말했다.

김태훈 기자 af103@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]